Código: SLPT-SG-PD03

Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 1 de 30

1. OBJETIVO.

Gestionar los riesgos que afecten la integridad de los procesos mediante la aplicación de la Norma ISO 31000.

2. ALCANCE.

El procedimiento de gestión de riesgos se aplica a todos las áreas que están relacionados directamente con el
servicio que se está prestando, esto con la finalidad de tratar de atenuar los posibles riesgos.

3. NORMATIVA.

El marco conceptual aplicado para la implementación del Sistema de Gestión del Riesgo es la norma NTC-ISO
31000:2018 y su eje central es la creación y la protección de valor en la organización, siendo éste el eje a través
del cual se agrupan ocho (8) principios, que son los factores claves de éxito para el diseño, implementación,
operación y mejora de todo sistema de gestión del riesgo en cuanto al desempeño, el fomento de la innovación
y la contribución al logro de los objetivos.
El liderazgo y compromiso de la Gerencia de la compañía tiene especial relevancia, ya que agrega responsabilidad
a los líderes de procesos y empleados. De esta forma, todos los miembros de la organización tienen la
responsabilidad de gestionar el riesgo, como una parte integrada del propósito de la misma, como es la creación
y la protección del valor.
Se deben considerar los ocho (8) principios fundamentales de la gestión del riesgo para establecer un el marco
de referencia y los procesos de gestión del riesgo de la organización.

3.1 PRINCIPIOS DE LA GESTIÓN DEL RIESGO

Una gestión del riesgo eficaz requiere de los ocho (8) principios fundamentales.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 2 de 30

3.1.1. Integrada: La gestión del riesgo es parte integral de todos los procesos de gestión de
SUPPLIES SAS

3.1.2. Estructurada y Exhaustiva: El proceso de gestión del riesgo de SUPPLIES SAS, es

adecuadamente definido, completo, detallado y cuenta con su propia estructura que contribuye
a que los resultados sean coherentes y comparables.

3.1.3. Adaptada: El proceso de gestión del riesgo de SUPPLIES SAS, es personalizado, adaptado a
la organización y proporcional a los contextos interno y externo relacionados con sus objetivos, es
decir, tiene su propio marco de referencia.

3.1.4. Inclusiva: La participación apropiada y oportuna de todos los procesos de gestión de

SUPPLIES SAS, en el sistema de gestión del riesgo permite considerar el conocimiento, los puntos
de vista y las percepciones de todas las partes interesadas. Esto se traduce en una mayor
conciencia y una gestión del riesgo informada y confiable.

3.1.5. Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con el cambio de los
contextos externo e interno de SUPPLIES SAS La gestión del riesgo de SUPPLIES SAS previene,
detecta, reconoce y responde a esos cambios y eventos de manera apropiada y oportuna.

3.1.6. Mejor Información Disponible: Los riesgos identificados en la gestión del riesgo de
SUPPLIES SAS se basan en información histórica, actualizada, así como las expectativas en el
futuro. La gestión del riesgo de SUPPLIES SAS tiene en cuenta explícitamente cualquier limitación
e incertidumbre asociada a dicha información y expectativas. La información de gestión del riesgo
es oportuna, clara y está disponible para todos los procesos de gestión de la organización.

3.1.7. Factores Humanos y Culturales: El comportamiento humano y la cultura influyen

considerablemente en todos los aspectos de la gestión del riesgo en todos los procesos de gestión
de SUPPLIES SAS

3.1.8. Mejora Continua: La gestión del riesgo mejora continuamente mediante el aprendizaje y
experiencia en los diferentes procesos de gestión de SUPPLIES SAS La gestión del riesgo permite
mejorar la eficacia de los riesgos identificados.

3.2 MARCO DE REFERENCIA

3.2.1 Generalidades

El propósito fundamental del marco de referencia es facilitar la integración de la gestión del riesgo
en todas las actividades de SUPPLIES SAS La eficacia de la gestión del riesgo depende de la
integración de todos los procesos de gestión de la organización. El marco de referencia incluye de
manera expresa las responsabilidades, así como la toma de decisiones por parte de la Alta Dirección
frente a la administración del riesgo.

El marco de referencia presenta un elemento adicional al tradicional ciclo de Deming o PHVA

(Planear, Hacer, Verificar, Actuar), ya que presenta cinco (5) pasos: Integración, Diseño,
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 3 de 30

Implementación, Valoración y Mejora. Por otro lado, el marco de referencia hace énfasis en el
liderazgo y el compromiso con lo que se busca garantizar la conformidad no solo de las obligaciones
de la organización, sino también de los compromisos individuales.

3.2.2 Liderazgo y Compromiso.

La Alta Dirección y los órganos de supervisión son los encargados de demostrar liderazgo y
compromiso, asegurando que la gestión del riesgo esté integrada en todas las actividades de
SUPPLIES SAS, promoviendo el uso del enfoque de proceso y de la mentalidad de riesgo. La Alta
Dirección demuestra el liderazgo y compromiso mediante las siguientes acciones:
 SUPPLIES SAS implementa y personaliza todos los componentes del marco de referencia,
integrando cada uno de los procesos de gestión con el objeto de lograr la implementación del
marco de referencia y que la gestión del riesgo haga parte como un todo en la gestión de la
organización.
 SUPPLIES SAS genera y divulga un documento que establece la política en la que se refleja el
enfoque sobre la gestión del riesgo, así como un plan o una línea de acción sobre el tema.
 SUPPLIES SAS asigna y garantiza los recursos humanos, técnicos y financieros necesarios para
que se implementen los procesos de gestión del riesgo.
 SUPPLIES SAS delega las responsabilidades asignando niveles de autoridad para garantizar la
supervisión y la rendición de cuentas en los diferentes procesos de gestión de la organización.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 4 de 30

Las acciones de liderazgo y compromiso en ISO-31000:2018 traen los siguientes beneficios a

SUPPLIES SAS:

 Permite que SUPPLIES SAS alinee la gestión del riesgo con sus objetivos, sus estrategias y su
cultura.
 Facilita a SUPPLIES SAS reconocer y abordar sus obligaciones y sus compromisos.
 Establece la cantidad y el tipo de riesgo que SUPPLIES SAS puede tolerar, asegurando que se
comunican a todos los empleados y sus partes interesadas.
 SUPPLIES SAS promueve el control sistemático de los riesgos.
 SUPPLIES SAS garantiza que el marco de referencia para la gestión del riesgo sea el adecuado
para el contexto de la organización.

Los órganos de supervisión de SUPPLIES SAS rinden cuentas a la Alta Dirección por la supervisión
de la gestión del riesgo. Las responsabilidades de los órganos de supervisión son:

 Asegurar que los riesgos se consideren apropiadamente y estén alineados con los objetivos
de la organización.
 Comprender los riesgos a los que hace frente SUPPLIES SAS en la búsqueda de sus objetivos.
 Asegurar que los sistemas creados para gestionar los riesgos de la organización se
implementen y operen eficazmente.
 Asegurar que los riesgos sean apropiados en el contexto de los objetivos de SUPPLIES SAS
 Asegurar que la información sobre los riesgos y su gestión se comuniquen de una manera
apropiada a las partes interesadas de SUPPLIES SAS

3.2.3 Integración

 El proceso de gestión del riesgo de SUPPLIES SAS integra todos los procesos del sistema de
gestión. La integración de la gestión del riesgo en SUPPLIES SAS es dinámica e iterativa y se adapta
a las necesidades y la cultura de la organización.
 Todos los miembros de SUPPLIES SAS tienen la responsabilidad de gestionar el riesgo en cada
proceso de gestión de la organización.
 La organización determina los roles y responsabilidades para la rendición de cuentas en cada
uno de los diferentes procesos de gestión; y los roles y responsabilidades para la supervisión
del proceso de gestión del riesgo.

3.2.4 Diseño

El diseño del proceso de gestión del riesgo requiere de una serie de pasos para el logro de sus
objetivos, como es la prevención de los riesgos de Lavado de Activos, Financiación del Terrorismo
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 5 de 30

y Financiamiento de la Proliferación de Armas de Destrucción Masiva y cualquier otro riesgo que

se pueda presentar. La Alta Dirección de SUPPLIES SAS es la encargada de articular con cada uno
de los procesos de gestión de la organización la identificación de los riesgos para lo cual se tuvieron
en cuenta el objeto social de la compañía, los factores de riesgo asociados a la actividad de la
compañía y las fuentes de riesgo identificados en todos sus procesos de gestión.

Los pasos para el diseño del marco de referencia del proceso de gestión del riesgo son los
siguientes:

3.2.4.1 Comprensión de la Organización y su Contexto

SUPPLIES SAS analiza y comprende su contexto organizacional para diseñar el marco de

referencia de la gestión del riesgo.

El objeto social de SUPPLIES SAS se sintetiza en la prestación del servicio de Manipulación

de Carga. La sociedad podrá realizar cualquier acto licito de comercio, pero especialmente
podrá efectuar todas y cada una de las operaciones mercantiles y actos de comercio que
a continuación se enumeran, sin excluir otras: La sociedad tendrá como objetivo principal
las siguientes actividades: Prestar servicios de empresas de centros de distribución y
almacenamiento, transporte, operador logístico y portuario, proveeduría y asesoría para
la gestión de transporte, portuaria y logística así como: (1) Administración de bodegas a
inventarios, recepción, inspección, catalogación, marcación y rotulado, custodia,
conservación, control, despacho de materiales, herramientas y equipos. (2) Gestión de
inventarios y manejo de almacén. (3) Servicio de recepción, almacenamiento,
manipulación, inspección, custodia y traslado de materias primas; servicio de llenado,
mezcla, empaque, re-empaque, inspección de productos en proceso, servicios de
empaque, almacenamiento, catalogación, inspección, administración de inventarios,
distribución, llenado, cargue y transporte de producto final y servicios de mantenimiento
industrial en plantas de fabricación. (4) Manejo y porteo de carga terrestre al interior de
instalaciones portuarias y fuera de ellas, entrega de mercancía local, nacional e
internacional. (5) Manejo de carga marítima, estiba, desestiba, cargue y descargue de
buques de carga general, contenerizada, granel sólido, granel carbón, granel líquido. (6)
representar empresas que sirvan como proveedores de servicios de remolque, practicaje
o pilotaje. (7) Almacenamiento de mercancías en tanques, silos, bodegas, patios y
cobertizos. (8) Importación de mercancías cualquiera que sea su tipo. (9) Alquiler de
equipos y suministros de aparejos, tolvas, cucharas, toda clase de aparejo, materiales para
la estiba. (10) Trimado. (11) Trincado. (12) Tarja. (12) Manejo y reubicación. (13)
Reconocimiento. (14) Llenado y vaciado de contenedores. (15) Embalaje y Reembalaje.
(16) Pesaje. (17) Cubicaje. (18) Marcación y rotulación. (19) Inspección clasificación y toma
de muestras. (20) Mantenimiento y reparación de contenedores. (21) Recepción de
vertimiento y lastres. (22) Recepción de aguas sentinas. (23) Recepción de basuras y
desechos. (24) Proveeduría de servicios de seguridad industrial. (25) Reparación de
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 6 de 30

embalaje de carga. (26) Reparaciones menores de contenedores y fumigaciones. (27)

Fletamento, corretaje de fletamento marítimo nacional e internacional en todos los
muelles públicos del territorio nacional y zonas especiales aduaneras. (28) Draft survey.
(29) Inspecciones de contenedores refrigerados y/o secos. (30) Inspección de la condición
general de motonaves. (31) Cálculos de combustible en la entrega y/o a la reentrega del
buque. (32) Inspección de mercancías antes, durante y después del embarque y/o
desembarque. (33) Supervisión de básculas. (34) Supervisión durante el proceso de cargue
de carbón. (35) Verificación de la calidad del peso, toma de muestras. (36) Compra y venta
de toda clase de bienes inmuebles. (37) Alquiler de montacargas y tractomulas. (38)
Gestión de inventarios y manejo de almacén. (39) Servicio de recepción, almacenamiento,
manipulación, inspección custodia y traslados de materias primas; servicio de llenado,
mezcla, empaque, re-empaque, inspección de productos en proceso, servicios de
empaque, almacenamiento, catalogación, inspección administración de inventarios,
distribución, llenado, cargue y transporte de producto final y servicios de mantenimiento
industrial en plantas de fabricación. (40) La inversión de sus fondos o disponibilidades en
bienes que produzcan renta mas o menos fija, tales como inmuebles, acciones, bonos,
depósitos a término, sean bursátiles o no. (41) La participación en otras sociedades
cualquiera que sea su objeto. (42) La adquisición, administración gravamen y enajenación
de inmuebles. (43) La actividad agropecuaria y ganadera en sus distintas manifestaciones.
(44) La actividad de la construcción de edificios destinados a vivienda familiar, centros
comerciales, hoteles y cualquier clase de obras civiles, obras de metalmecánica. (45)
Servicios logísticos y transporte intermodal. (46) Importación y exportación de bienes e
inmuebles. (47) La realización de operaciones crediticias tales como contratos de mutuo,
hipotecas, compraventa. (48) Creación y administración de negocios de todo tipo
orientados a la generación de lucro. (49) Creación de establecimientos de comercio para
la comercialización de todo tipo de bienes para el cabal desarrollo del objeto principal, la
sociedad podrá comprar, vender, arrendar, permutar, gravar a hipotecar cualquier tipo de
mueble e inmueble. (50) Celebrar cualquier operación lícita con títulos valores, divisas,
acciones, cedulas, bonos, cuotas, aperturas de cuentas, solicitudes de préstamo,
contratos de mutuo, fiduciarios y similares o equivalentes. (51) Servir de agente,
representante, franquiciado o concesionario de cualesquiera personas naturales o
jurídicas nacionales o extranjeras, de naturaleza comercial o civil. (52) Podrá participar en
licitaciones, concursos o convocatorias públicas, privadas o mixtas y hacerse socia o
asociada de otras personas naturales o jurídicas nacionales o extranjeras, públicas,
privadas o mixtas, nacionales, extranjeras o multinacionales para participar en dichos
procesos. (53) Ser representada extrajudicialmente, transigir, desistir, participar y aceptar
decisiones arbitrales. (54) También podrá constituir o formar parte de cualquier sociedad
portuaria conforme a lo estipulado en la Ley 01 del año 1991 y todas aquellas actividades
conexas y complementarias con el objeto social. La sociedad podrá realizar cualquier acto
lícito de comercio y podrá ejecutar todas y cada una de las operaciones mercantiles y actos
de comercio sin excluir otras. (55) En general celebrar todo genero de actos, operaciones,
negocios jurídicos y contratos que tengan relación directa con las actividades que su
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 7 de 30

objeto social requiera o cuya finalidad sea ejercer los derechos o cumplir las obligaciones
legales o comerciales, o convencionales derivadas de la existencia de la sociedad como
tal, como encargos judiciales o administrativos y demás actos complementarios para el
normal desarrollo del objeto social principal.

El análisis del contexto externo en SUPPLIES SAS incluye:

 Factores sociales, culturales, políticos, legales, reglamentarios, financieros,

tecnológicos, económicos y ambientales.
 Factores internacionales, nacionales, regionales y locales.
 Tendencias que afectan los objetivos de la organización.
 Percepciones, valores, necesidades, relaciones y expectativas de las partes
interesadas externas.
 Relaciones contractuales y compromisos con las partes interesadas externas.
 La complejidad de las redes y la dependencia de ellas.

El análisis del contexto interno en SUPPLIES SAS incluye:

 Misión, visión y los valores de la organización.

 Estructura organizacional, el liderazgo, el empoderamiento, los roles y
responsabilidades y la rendición de cuentas en cada proceso de gestión de la
organización.
 Las estrategias, los objetivos, las políticas y la cultura de la organización.
 Las normas, las directrices y los modelos adoptados por la organización.
 Los recursos humanos, los recursos económicos, el conocimiento, los procesos de
gestión, la propiedad intelectual, los sistemas y la tecnología.
 Los compromisos y las relaciones contractuales con las partes interesadas internas.
 Los procesos, los subprocesos y sus interconexiones.

El contexto interno y externo en SUPPLIES SAS es determinado por la alta dirección y por
cada uno de los procesos de gestión de la compañía.

3.2.4.2 Articulación del Compromiso con la Gestión del Riesgo

La Alta Dirección y los organismos de supervisión se articulan y demuestran su

compromiso continuo con la gestión del riesgo, estableciendo políticas, objetivos y
divulgando el compromiso de SUPPLIES SAS con la gestión del riesgo a las partes
interesadas. La declaración del compromiso incluye:
 El compromiso de SUPPLIES SAS para gestionar el riesgo y el alineamiento con los
objetivos y las políticas de la organización.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 8 de 30

 La necesidad de integrar la gestión del riesgo en todos los procesos de gestión

SUPPLIES SAS y el reforzamiento de la cultura organizacional.
 El liderazgo y compromiso en la integración de la gestión del riesgo en todas sus
actividades y en cada proceso de gestión y en la toma de decisiones.
 La definición de los roles, autoridades, responsabilidades y la obligación de rendir
cuentas.
 El aseguramiento de los recursos necesarios.
 La forma en que se abordan los objetivos organizacionales en conflicto.
 La medición y presentación de informes que incluyen indicadores de desempeño.
 La revisión y la mejora continua.

3.2.4.3 Asignación de Roles, Autoridades, Responsabilidades y Obligación de Rendir

Cuentas en la Organización

La Alta Dirección y los órganos de supervisión de SUPPLIES SAS asignan los roles
responsabilidades y la obligación de rendir cuentas de la gestión del riesgo, asegurando
que se asignen y se comuniquen en cada uno de los procesos de gestión de la
organización. Se enfatiza en que la gestión del riesgo en SUPPLIES SAS es una actividad
principal y que las personas que tienen asignada la responsabilidad de rendir cuentas
están identificadas en cada proceso de gestión de la organización.

3.2.4.4 Asignación de Recursos

La Alta Dirección y los órganos de supervisión de SUPPLIES SAS están comprometidos con
la asignación de los recursos humanos, operativos, económicos, físicos y tecnológicos
apropiados para la gestión del riesgo en cada uno de los procesos de gestión de la
organización. SUPPLIES SAS asigna recursos para la gestión del riesgo teniendo en cuenta:
 El personal, sus habilidades, su experiencia y sus competencias.
 Los procesos, las metodologías y las herramientas para gestionar el riesgo.
 Los procesos de producción y los procedimientos documentados.
 Los sistemas de gestión y del conocimiento.
 El desarrollo profesional y las necesidades de capacitación.

3.2.4.5 Establecimiento de la Comunicación y Consulta

SUPPLIES SAS tiene establecidos lo medios humanos, operativos, económicos, físicos y

tecnológicos necesarios para comunicar a los interesados internos y externos todo lo
relacionado con la prevención de los riesgos incluidos los del Lavado de Activos,
Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción
Masiva LA/FT-PDAM.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 9 de 30

SUPPLIES SAS tiene implementado un procedimiento de Gestión Integral de Riesgos que

permite a los responsables de la gestión del riesgo en cada uno de los procesos de gestión
de la organización, generen una retroalimenten constante y contribuyan a la toma de
decisiones u otras actividades.

Las capacitaciones sobre la gestión del riesgo en SUPPLIES SAS se programan y se

coordinan a través del área de Talento Humano y la Alta Dirección para todos los
empleados de la organización, administradores, incluyendo el personal temporal, con el
propósito de sensibilizar de los planes de tratamiento de los riesgos existentes en cada
proceso de gestión de la organización.
Las capacitaciones son dinámicas y se realizaran anualmente o cada vez que hay cambios
en las normas, las regulaciones gubernamentales o cambios en el entorno de negocios de
SUPPLIES SAS

Los procedimientos de divulgación implementados en SUPPLIES SAS y sus objetivos son

los siguientes:

 Asegurar en todo momento la disposición de los medios tecnológicos y humanos

necesarios para divulgar las políticas y procedimientos establecidos en el presente
Procedimiento, el cual está disponible para consulta para sus interesados internos y
externos cuando estos soliciten consultarlo.
 Comunicar y sensibilizar a sus empleados y contrapartes acerca del compromiso de la
compañía con la prevención cualquier riesgo existente y que pueda afectar el normal
desarrollo de las actividades de la compañía.
 Comunicar a través de los documentos de inscripción de clientes nacionales e
internacionales, proveedores nacionales e internacionales y demás contrapartes,
textos informativos relacionados con la obligación que tienen SUPPLIES SAS, en la
gestión del riesgo.
 Incentivar a los clientes, proveedores y demás contrapartes para no infringir las
políticas de prevención del riesgo. Los contratos que se celebran entre SUPPLIES SAS
y sus clientes, proveedores y demás contrapartes, incluyen cláusulas relativas al
compromiso de prevención de los riesgos que afecten el desarrollo de las actividades
de la empresa.

Finalmente, la Alta Dirección aprueban el establecimiento de las políticas del manejo,

control, mitigación y traslado del riesgo teniendo en cuenta las propuestas
presentadas por los consultores y personal de la empresa. Así mismo la Alta Dirección
ponen a disposición las medidas operativas, económicas, físicas, tecnológicas y de
recursos que sean necesarios y requeridas para que se pueda desarrollar esta
actividad.

3.2.5 Implementación
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 10 de 30

La implementación de la Gestión del Riesgo es un arte y depende de muchos factores, entre ellos
la personalidad del ser humano, las preferencias, las relaciones y la madurez de la cultura
organizacional.

La Alta Dirección de SUPPLIES SAS proporciona los medios necesarios para poner en marcha el
Sistema de Gestión Integral del Riesgo de la organización para la prevención del riesgo de LA/FT-
PADM y cualquier otro riesgo que se pueda presentar en el desarrollo normal de sus actividades.

De esta forma, SUPPLIES SAS adopta buenas prácticas administrativas, aplica metodologías,
establece roles y responsabilidades, adopta un lenguaje sencillo, proporciona la infraestructura
tecnológica para su funcionamiento, integra todos los procesos y analiza periódicamente el marco
para lograr la mejora continua de los procesos y el funcionamiento del marco de referencia.

SUPPLIES SAS cuenta con una estructura organizacional que permite identificar los responsables
de la toma de decisiones en cada proceso de gestión. La organización tiene implementado un
procedimiento de Gestión Integral del Riesgo contribuye al logro de los objetivos de la
organización y al cumplimiento de los requisitos legales establecidos por los entes de control,
respecto a la prevención del riesgo de LA/FT-PADM y cualquier otro riesgo que se pueda presentar
en el contexto interno o externo de la compañía.

El procedimiento de Gestión Integral del Riesgo ha sido diseñado para lograr una gestión
documental más efectiva y completa, ya que permite para cada una de las fuentes de riesgos
definidas por la organización, identificar el riesgo, describirlo, clasificarlo, establecer el generador,
registrar las causas, los efectos, valorar el riesgo inherente, establecer controles, realizar
seguimiento a los controles establecidos y valorar el riesgo residual.

El procedimiento de Gestión Integral del Riesgo contribuye al logro de los objetivos

organizacionales, permite una optimización de la comunicación organizacional, una gestión
efectiva de las no conformidades, el registro y seguimiento de los planes de acción por
implementar e implementados y a las acciones de mejora implementadas en cada uno de los
procesos de gestión, logrando así el propósito fundamental de la gestión del riesgo como es la
Creación y la Protección del Valor.

3.2.6 Valoración

La valoración es un elemento importante del marco de referencia ya que la necesidad de

valoración o evaluación del mismo, asegura que el marco de referencia contribuya con el logro de
las metas y los objetivos. Además, las oportunidades que sean identificadas permiten mejorar el
marco de referencia.
El procedimiento de Gestión Integral del Riesgo de SUPPLIES SAS permite calificar anualmente la
eficacia del marco de referencia de la gestión del riesgo en cada uno de los procesos de gestión
de la organización. El marco de referencia del proceso de Gestión Integral del Riesgo facilita el
funcionamiento eficaz del sistema, ya que identifica los responsables de cada proceso de gestión,
los cuales trabajan y se empoderan de la Gestión del Riesgo, monitoreando y revisando las
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 11 de 30

políticas para determinar si siguen siendo las adecuadas al contexto interno y externo de la
organización.

3.2.7 Mejora

3.2.7.1 Adaptación

En SUPPLIES SAS se realiza seguimiento continuo al funcionamiento del marco de

referencia, adaptándolo cada vez que hay cambios en las políticas relacionadas con el
contexto interno y externo de la organización, cuando surgen nuevas oportunidades de
negocio, cuando aparece una nueva jurisdicción o se crea una nueva área de trabajo
dentro de la organización.

3.2.7.2 Mejora Continua

El proceso de Gestión Integral del Riesgo de SUPPLIES SAS está diseñado para registrar las
oportunidades de mejora, en cada uno de los procesos de gestión de la organización, con
la asignación de responsables de los planes de acción y las tareas trazadas para su
implementación, lo que contribuye al fortalecimiento de la gestión del riesgo.

El marco de referencia de la ISO-31000:2018 enfatiza en los roles y responsabilidades de

la alta dirección en la gestión del riesgo. Así mismo pondera la responsabilidad de asegurar
la integración de todos los procesos de gestión de la organización a través de su liderazgo
y compromiso.

4. DEFINICIONES.

Riesgo. Efecto de la incertidumbre sobre los objetivos.

 Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y
puede abordar, crear o resultar en oportunidades y amenazas.
 Los objetivos pueden tener diferentes aspectos y categorías y se pueden aplicar a diferentes
niveles.
 Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos potenciales, sus
consecuencias y sus probabilidades.
Gestión del Riesgo: Actividades coordinadas para dirigir y controlar la organización con relación al riesgo.
Parte Interesada: Persona u organización que puede afectar, verse afectada, o percibirse como afectada
por una decisión o actividad.
Fuente de Riesgo: Elemento que, por si solo o en combinación con otros, tiene el potencial de generar
riesgo.
Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
 Un evento puede tener una o más ocurrencias y puede tener varias causas y varias
consecuencias.
 Un evento también puede ser algo previsto que no llega a ocurrir, o algo no previsto que ocurre.
 Un evento puede ser una fuente de riesgo.
Consecuencia: Resultado de un evento que afecta a los objetivos.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 12 de 30

 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos, directos
o indirectos sobre los objetivos.
 Las consecuencias se pueden expresar de manera cualitativa o cuantitativa.
 Cualquier consecuencia puede incrementarse por efectos en cascada y efectos acumulativos.
Probabilidad (Likelihood): Posibilidad de que algo suceda. En la terminología de Gestión del Riesgo, la
palabra “probabilidad” se utiliza para indicar la posibilidad de que algo suceda, esté definida, medida o
determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos
generales o matemáticos (como una matemática o una frecuencia en un periodo de tiempo determinado).
Control: Medida que mantiene y/o modifica un riesgo.
 Los controles incluyen, pero no se limitan a cualquier proceso, política, dispositivo, práctica u otras
condiciones y/o acciones que mantengan y/o modifiquen un riesgo.
 Los controles no siempre pueden producir el efecto de la modificación previsto o asumido.

4.1 OTRAS DEFINICIONES

Análisis de Riesgo: Uso sistemático de la información disponible para determinar qué tan
frecuentemente pueden ocurrir eventos específicos y la magnitud de sus consecuencias.
Canal de Distribución: Estructura propia o externa a través de la cual se promocionan y venden los
productos o servicios de la empresa naturales o jurídicas, nacionales o extranjeras, que mantienen una
relación contractual con la empresa SUPPLIES SAS y tienen una actividad económica adicional riesgosa
o se encuentran en una jurisdicción riesgosa.
Todo canal de distribución está formado por dos intermediarios principales, entre los cuales definirán
como es la evaluación de este proceso y su forma de organizarse.
Cliente: Es toda persona natural o jurídica con la cual la empresa SUPPLIES SAS establece y mantiene
una relación contractual o legal para el suministro de cualquier producto o servicio público de transporte
terrestre de carga, propio de su actividad.
Clientes de Alto Riesgo: Son aquellas personas naturales o jurídicas, nacionales o extranjeras, que
mantienen una relación contractual con la empresa SUPPLIES SAS y tienen una actividad económica
adicional riesgosa o se encuentran en una jurisdicción riesgosa.
Conflicto de Interés: Son situaciones en donde el juicio de una persona natural o jurídica es
indebidamente influenciado por un interés secundario, el cual frecuentemente es de tipo económico y
personal. Hay conflicto de interés cuando una persona en vez de cumplir con lo debido, puede guiar sus
decisiones o actuar en beneficio propio o de un tercero.
Contrapartes: Son las personas naturales o jurídicas con las cuales SUPPLIES SAS tiene vínculos de
negocios, contractuales o jurídicos de cualquier orden. Para propósitos del presente manual se hace
referencia a clientes, proveedores, empleados, socios, aliados estratégicos y demás terceros vinculados.
Criterio de Riesgo: Es la actitud de SUPPLIES SAS acerca de cómo serán evaluados y tratados sus riesgos.
Es decir, si se comparten o se transfieren, se asumen, se evitan o se reducen.
Debida Diligencia Mejorada: Es el término con el que se sugiere a las empresas públicas o privadas a
tomar medidas o precauciones adicionales al momento de establecer una relación contractual o de
negocios, basado en el comportamiento que tendría un buen padre de familia o un buen hombre de
negocios, para identificar posibles riesgos o actividades posiblemente ocultas.
Factor de riesgo: Es el proceso que potencializa la probabilidad del riesgo, es cualquier rasgo,
característica o exposición de un individuo u organización a tener la probabilidad a que se manifieste una
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 13 de 30

lesión o daños materiales. Se entiende también como factor de riesgo a aquel elemento que puede
condicionar una situación, volviéndose los causantes de la evolución o transformación de los hechos. Un
factor es lo que contribuye a que se obtengan determinados resultados al caer sobre él la responsabilidad
de la variación o de los cambios.
SIPLAFT. Sigla del Sistema Integral para la Prevención y Control del Riesgo de Lavado de Activos,
Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.
Oficial de Cumplimiento: Hace referencia al empleado de la empresa encargado de promover y
desarrollar los procedimientos específicos de prevención, actualización y mitigación del riesgo LA/FT-
PADM.
Empresa Obligada: Hace referencia a SUPPLIES SAS como empresa obligada de darle cumplimiento a la
resolución 074854 de diciembre de 2016.
Producto: Hace referencia a los bienes y servicios que produce, comercializa, transforma u ofrece
SUPPLIES SAS o adquiere de un tercero.
Riesgo Inherente. Es el nivel de riesgo propio de las actividades de SUPPLIES SAS, sin tener en cuenta el
efecto de los controles.
Riesgo Residual: Es el nivel resultante del riesgo después de aplicar los controles.
Riesgo Legal: Es la eventualidad de pérdida en la que incurre SUPPLIES SAS, los socios, los administradores
o cualquier otra persona vinculada a la organización, al ser sancionados, multados u obligados a
indemnizar daños por el incumplimiento de normas o regulaciones relacionadas con la prevención de
riesgos.
Riesgo Reputacional: Es la posibilidad de pérdida en que incurre SUPPLIES SAS por desprestigio, mala
imagen, publicidad negativa cierta o no, respecto de la organización y sus prácticas de negocios, que cause
pérdida de clientes, disminución de ingresos o vinculación a procesos judiciales.
Riesgo de Operacional: Es la posibilidad de ser utilizado en actividades de LA/FT-PADM por deficiencias,
fallas o incumplimiento de los procedimientos, la tecnología, la infraestructura, el recurso humano o por
ocurrencia de acontecimientos externos que afectan el desarrollo de los negocios, objeto social de
SUPPLIES SAS
Riesgo de Contagio: Es la posibilidad de pérdida que SUPPLIES SAS puede sufrir, directa o indirectamente,
por la acción o la experiencia de un cliente, proveedor, empleado, socio o relacionado (personas naturales
o jurídicas), vinculado a delitos LA/FT-PADM.

5. DESCRIPCIÓN DEL PROCEDIMIENTO.

El proceso de Gestión Integral del Riesgo ISO-31000:2018 de SUPPLIES SAS es una aplicación sistemática de las
políticas, procedimientos y prácticas a las actividades inherentes al proceso de Gestión del Riesgo.

La ISO-31000:2018 emplea un término más holístico en cuanto al alcance, establecimiento del contexto y
criterios, ya que indica que la Gestión del Riesgo debe ser parte integral de la gestión y de la toma de decisiones
y debe integrarse a todos los procesos de gestión de la organización.

SUPPLIES SAS, determino que la gestión del riesgo se llevará a cabo mediante la identificación, análisis,
planeación, seguimiento y control de los riesgos que puedan afectar en la ejecución de los procesos; esto
garantiza que no se presente contaminación alguna en la cadena internacional de suministros. Esto se
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 14 de 30

garantizará mediante la aplicación de la metodología para la administración y manejo del riesgo y la aplicación
de una matriz de riesgos establecida por SUPPLIES SAS

Si, se llegase a detectar frecuentemente prácticas de soborno, ya sea de tipo directo o indirecto, por parte de
su personal o socios de negocio se sugiere adoptar la norma internacional de Sistema de Gestión Antisoborno
ISO: 37001.

5.1 COMUNICACIÓN Y CONSULTA

La comunicación y la consulta en SUPPLIES SAS tienen como objetivo asistir a las partes interesadas,
externas e internas, en la comprensión del riesgo, las bases empleadas para la toma de decisiones y las
razones por las que son necesarias acciones específicas. La comunicación promueve la toma de conciencia
y la comprensión del riesgo. La consulta busca la retroalimentación de información histórica, actual y
futura para la toma de decisiones. Tanto la comunicación como la consulta, son una constante en cada
fase del proceso de gestión del riesgo de SUPPLIES SAS, por esa razón los líderes de procesos de gestión,
así como los gestores de riesgos y colaboradores de las mismas, están comprometidos con el trabajo en
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 15 de 30

equipo y la comunicación permanente de los riesgos y los planes de tratamiento en cada una de sus áreas.
Para asegurar la comunicación de los riesgos en SUPPLIES SAS se tiene en cuenta lo siguiente:

Los riesgos y los planes de tratamiento se divulgan en cada proceso de gestión de SUPPLIES SAS, tanto a
los interesados internos como externos, asegurando el flujo de información en ambas direcciones.
 Al comunicar los riesgos se tiene en cuenta la percepción que se tiene de los mismos, la
diferencia de conceptos, aspectos y preocupaciones de los equipos de cada proceso de gestión
de SUPPLIES SAS
 Las partes interesadas internas y externas normalmente realizan juicios de aceptabilidad de los
riesgos basados en su experiencia.
Para que la comunicación y la consulta sean efectivas, SUPPLIES SAS ha establecido el siguiente
procedimiento:

 Cada uno de los procesos de gestión de SUPPLIES SA Sinteractúan entre sí en cada etapa del
proceso de gestión del riesgo.
 Tener en cuenta los diferentes puntos de vista de la alta dirección, de los líderes de proceso, de
los gestores del riesgo y de los colaboradores cuando de definen los criterios del riesgo y cuando
se valoran los riesgos.
 Cada uno de los procesos de gestión de SUPPLIES SAS deben proporcionar información suficiente
para el seguimiento del riesgo y la toma de decisiones.
 Sensibilizar al personal afectado por el riesgo en el sentido de inclusión y propiedad del riesgo.

5.2 Alcance, Contexto y Criterios

5.2.1 Generalidades

El establecimiento del alcance, el contexto interno, contexto externo y los criterios en SUPPLIES
SAS tienen como propósito la adaptación de la compañía al proceso de gestión del riesgo para
permitir un tratamiento apropiado del mismo y su evaluación eficaz.

5.2.2 Definición del Alcance

El Sistema de Gestión Integral del Riesgo de SUPPLIES SAS tiene en cuenta la política y los objetivos
para gestionar sus riesgos, en cuanto a comunicarlos y consultarlos, definir el alcance,
contextualizarlos, identificarlos, analizarlos, evaluarlos, ponderar su impacto, tratarlos
(mitigarlos), hacerles seguimiento y revisarlos, todo encaminado a que la gestión del riesgo se
incluya en cada uno de los procesos de gestión de la organización y sea aplicada también a la
gestión del riesgo exigida por los requisitos legales de cumplimiento ante las entidades de control.

El alcance de la gestión del riesgo en SUPPLIES SAS incluye la gestión de los riesgos operativos,
riesgos de cumplimiento, riesgos estratégicos, riesgos financieros, riesgos tecnológicos y riesgos
de contagio o LA/FT-PADM.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 16 de 30

La definición del alcance de la gestión del riesgo en SUPPLIES SAS implica considerar los siguientes
elementos:

 Toma de decisiones teniendo en cuenta los objetivos que persigue la organización.

 Tener claros los resultados que se esperan obtener del proceso de Gestión del Riesgo.
 Tener en cuenta donde, cuando (ubicación y tiempo), las inclusiones y las exclusiones
específicas.
 Valorar las herramientas y las técnicas disponibles para la evaluación de riesgos.
 El nivel de los recursos disponibles, la asignación de responsabilidades y los registros que
se mantendrán.
 Relación de la Gestión del Riesgo con otros sistemas, procesos, proyectos o actividades.

5.2.3 Contexto Externo e Interno

SUPPLIES SAS, con el liderazgo y el compromiso de la Alta Dirección, evalúa el entorno en el que
se mueve la compañía y define el contexto interno y externo para alcanzar sus metas y cumplir
sus objetivos.

Antes de definir o delimitar el contexto, SUPPLIES SAS comprende los factores que afectan las
actividades al interior de sus instalaciones y externamente. La comprensión del contexto es
importante porque:

 La gestión del riesgo se produce en el entorno de las actividades y la búsqueda de los

objetivos de SUPPLIES SAS
 Los factores organizacionales de SUPPLIES SAS pueden ser fuentes de riesgo.
 Puede existir una relación entre los factores que conforman el contexto interno o externo
y los objetivos de SUPPLIES SAS, por esa razón se analizan como un todo.
 SUPPLIES SAS establece el contexto externo e interno considerando los factores listados
en el numeral 3.2.4.

5.2.4 Definición de los Criterios del Riesgo

La definición de los “Criterios del Riesgo” son los términos que permiten evaluar la importancia
de un riesgo, lo cual implica especificar cada uno de ellos, establecer cuáles pueden ser tolerados
por SUPPLIES SAS y en qué nivel y permiten elaborar la política de riesgo de la organización.

Estos términos están alineados con el marco de referencia de la gestión del riesgo y reflejan los
valores, los objetivos y los recursos de la organización.
SUPPLIES SAS define el nivel y el tipo de riesgo que puede o no puede tolerar con relación a los
objetivos de la organización. También define los criterios para valorar la importancia del riesgo y
para apoyar la toma de decisiones por parte de los responsables de cada uno de los procesos de
gestión de la organización. Los criterios del riesgo en SUPPLIES SAS son coherentes con las
políticas y declaraciones de la gestión del riesgo y reflejan los valores objetivos y los recursos que
posee la compañía. Los criterios establecidos en SUPPLIES SAS para la gestión del riesgo toman
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 17 de 30

en consideración tanto las obligaciones de la organización como los puntos de vista de las partes
interesadas.

Los criterios del riesgo son dinámicos, se revisan continuamente y se modifican cuando es
necesario. El desarrollo de los criterios de evaluación del riesgo, define los criterios de
probabilidad, impacto, consecuencias, valoración y tratamiento del riesgo. Los criterios del riesgo
en SUPPLIES SAS se establecen considerando los siguientes aspectos:

 La naturaleza y el tipo de riesgo, sea tangible o intangible, que puede afectar los
resultados esperados y los objetivos.
 La forma como se va a medir el nivel de probabilidad de ocurrencia del riesgo, el nivel de
impacto y las consecuencias (tanto positivas como negativas) de la materialización de los
riesgos.
 Cuando puede ocurrir y los escenarios en donde se puede presentar el riesgo (donde).
 La forma en que se determina el nivel de riesgo.
 La coherencia en el uso de las mediciones para que estén de acuerdo con la realidad de la
organización.
 La capacidad de la organización para mitigar los riesgos que se materializan.
 La forma como se realizarán las combinaciones de múltiples riesgos y las combinaciones
que se consideran.

Las Tablas 3 a 8 muestran los criterios del riesgo establecidos en SUPPLIES SAS para el
funcionamiento del Proceso de Gestión del Riesgo.

5.3. Evaluación del Riesgo

5.3.1 Generalidades

Es el proceso global del proceso de gestión del riesgo que incluye la identificación del riesgo, el
análisis del riesgo y la valoración del riesgo. La evaluación del riesgo en SUPPLIES SAS se realiza
de una forma sistemática, iterativa y colaborativa en cada uno de los procesos de gestión de la
organización basados en información histórica, información actualizada, información de
investigación, y teniendo en cuenta la percepción y los puntos de vista de las partes interesadas
internas y externas de la organización. El Procedimiento de Gestión Integral de Riesgos facilita el
registro sistemático de los riesgos en cada proceso de gestión de la organización.

5.3.2 Identificación del Riesgo

SUPPLIES SAS identifica de forma correcta los riesgos, teniendo en cuenta que se tiene un
conocimiento detallado de la organización, del mercado en el que opera, del entorno legal, social,
político y cultural que le rodea. Los factores del riesgo y la identificación de las fuentes del riesgo,
en SUPPLIES SAS facilitan la identificación de los riesgos asociados en cada uno de los procesos
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 18 de 30

de gestión de la compañía. SUPPLIES SAS emplea diversas técnicas para identificar los riesgos que
pueden afectar positiva o negativamente a la organización para el logro de sus objetivos y sus
metas. La identificación de los riesgos se realiza con información pertinente, apropiada y
actualizada y se tienen en cuenta los siguientes factores:

 Las fuentes de riesgo tangible e intangible.

 Las causas y los eventos de riesgo identificados en cada uno de los procesos de gestión
de la organización.
 La presencia de amenazas u oportunidades que afecten negativa o positivamente los
objetivos de la organización.
 La presencia de vulnerabilidades y la capacidad de SUPPLIES SAS para mitigar el
riesgo.
 Los cambios en el contexto interno y externo de la organización.
 Los indicadores de riesgos nuevos (emergentes), cuya materialización va en aumento.
 La naturaleza del riesgo y el valor de los activos y los recursos de SUPPLIES SAS
 Las consecuencias de la materialización del riesgo y su impacto en los objetivos de
cada uno de los procesos de gestión de SUPPLIES SAS
 Las limitaciones de conocimiento y la confiabilidad de la información.
 Los factores relacionados con el tiempo (¿cuando?).
 Los sesgos, los supuestos y las creencias de las personas involucradas en el proceso
de gestión del riesgo.

La etapa de identificación de riesgos es la más importante del proceso de gestión del riesgo, ya que es
donde se deben tratar de identificar la mayor cantidad de eventos de riesgo en cada uno de los procesos
de gestión de SUPPLIES SAS Para esta etapa se definieron dos metodologías de identificación de riesgos:

 Se utilizó la metodología conocida como Método Delphi o también denominada “Juicio Basado en
la Experiencia”, también conocido como “Juicio de Expertos”, consistente en la reunión de varias
personas conocedoras y expertas en el tema del transporte.
 Se empleó la técnica de “Lluvia de ideas” y mediante el Diagrama Causa-Efecto, también llamado
Diagrama de las siete emes (7M´s), Diagrama de Ishikawa o Espina de Pescado, se plantearon
diferentes situaciones para medir los diferentes eventos de riesgo, de manera espontánea.

SUPPLIES SAS identifica los riesgos independientemente de si la fuente se encuentra o no bajo su control.
La principal técnica para la identificación de eventos de riesgo es “la experiencia” de la industria y la de la
organización.

La identificación del riesgo debe responder a las preguntas:

 ¿Qué puede suceder?

 ¿Cómo y porqué puede suceder?
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 19 de 30

 ¿Cuándo puede ocurrir?

 ¿Por qué se puede presentar?, ¿Quién puede generarlo?, etc.

5.3.3 Análisis del Riesgo

Durante esta etapa se comprende la naturaleza del riesgo y las características de la amenaza, lo
que permite determinar en detalle una serie de incertidumbres, fuentes de riesgo, efectos,
consecuencias, la probabilidad de ocurrencia del evento y los escenarios en los que se puede dar,
lo que lleva a determinar el nivel de riesgo, los controles a implementar y su eficacia. Un evento
de riesgo puede tener múltiples causas y múltiples consecuencias y puede afectar a múltiples
objetivos.

El análisis del riesgo en SUPPLIES SAS considera los siguientes factores:

 La probabilidad de materialización de los eventos de riesgo y sus consecuencias.

 La naturaleza del riesgo y la magnitud de las consecuencias.
 La complejidad del análisis del riesgo y la interconexión con otros procesos de gestión,
áreas o sedes de la organización.
 Los factores relacionados con el tiempo (¿cuando?) y la volatilidad del riesgo. - La eficacia
de los controles existentes para mitigar el riesgo.
 Los niveles de sensibilidad (relación entre el resultado de la evaluación de un riesgo y la
existencia o ausencia del mismo) y confianza (probabilidad de que el riesgo evaluado se
encuentre en el intervalo de confianza). Las tablas 1 y 2 muestran los criterios del riesgo
para cuantificar la probabilidad y el impacto, respectivamente, en el sistema de gestión
integral del riesgo de SUPPLIES SAS

De esta forma, se determinan los riesgos que pueden significar una pérdida o daño. Un evento de
riesgo puede afectar a más de un área y, por tanto, dar lugar a múltiples consecuencias, las cuales
van a generar más de una actividad de control.

Probabilidad

DESCRIPTOR DESCRIPCIÓN FRECUENCIA NIVEL

Rara Vez Ocurrencia en circunstancias excepcionales. El evento no se ha presentado en los últimos 3 1
años.
Poco Probable Puede ocurrir. El evento se presentó 1 vez en el último año. 2
Posible Es posible que suceda. El evento se presentó 1 vez en los últimos 6 meses. 3
Probable Es viable que el evento ocurra en la mayoría El evento se presentó 1 vez en los últimos 3 meses 4
de los casos.
Casi seguro Se espera que el evento ocurra en la mayoría Es muy seguro que se presente. El evento se 5
de las circunstancias. presentó más de una vez en el último mes.

Tabla 1. Criterios del Riesgo para Cuantificar la Probabilidad

 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 20 de 30

Impacto

DESCRIPTOR DESCRIPCIÓN NIVEL

Afectación parcial al proceso y a la dependencia. Genera medianas
Moderado 5
consecuencias para la entidad.
Impacto negativo para la entidad. Genera altas consecuencias para la
Mayor 10
entidad.
Catastrófico Consecuencias desastrosas para la entidad y el sector. 20

Tabla 2. Criterios del Riesgo para Cuantificar el Impacto

Calificación del Riesgo (Nivel de Riesgo) = Probabilidad x Impacto

SUPPLIES SAS considera las diversas opiniones, percepciones, juicios, los supuestos, las exclusiones y la calidad
de la información para analizar los riesgos, documentándolos y comunicándolos a las partes interesadas de cada
uno de los procesos de gestión de la organización.

La entrada para realizar la valoración del riesgo es el análisis del riesgo, el cual conlleva a la toma de decisiones en
SUPPLIES SAS y define la forma como se va a tratar el riesgo, las estrategias y los métodos más apropiados para
tratarlo.

La calificación del riesgo inherente de todos los riesgos identificados en la compañía permite obtener el mapa de
riesgo inherente. El análisis de los riesgos también incluye la determinación de los controles existentes, donde se
debe indicar si los controles existen, si son efectivos, si están documentados y su eficacia. La tabla de Criterios del
Riesgo para Determinar la Valoración de los Controles facilita dicha evaluación (ver tabla 6).
En la valoración del control el procedimiento de Gestión Integral del Riesgo también permite clasificarlos de
acuerdo a los siguientes cuatro (4) tipos de control:

 Preventivo: Actúan sobre la causa de los riesgos con el fin de disminuir la probabilidad de ocurrencia,
constituyen la primera línea de defensa para evitar la materialización del riesgo y actúan para disminuir
la acción de los agentes generadores.
 Detectivo: Se diseñan para descubrir un evento de riesgo, irregularidad o un resultado no previsto; alertan
sobre la presencia de los riesgos y permiten tomar medidas inmediatas; pueden ser manuales o
computarizadas. Son la segunda línea de defensa frente a los riesgos, pueden informar, pueden informar
y registrar la ocurrencia de hechos no deseados, accionar alarmas, bloquear la operación de un sistema,
monitorear y alertar a los empleados.
 Correctivo: Permiten el restablecimiento de una actividad, después de ser detectado un evento no
deseado, posibilitando la modificación de acciones que propiciaron la ocurrencia. Estos controles
permiten mejorar las deficiencias y se establecen cuando el detectivo y preventivo no funcionan.
 Mejora Continua: Acción implementada para incrementar los resultados del proceso o el sistema en
términos de eficacia.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 21 de 30

5.3.4 Valoración del Riesgo

La valoración del riesgo apoya la toma de decisiones en cada uno de los procesos de gestión de la
organización, lo que implica comparar los resultados del análisis del riesgo con los criterios del riesgo
establecidos para definir si se requiere tomar una acción adicional. Las decisiones que SUPPLIES SAS toma
para la valoración del riesgo son:

 No tomar ninguna acción y asumir el riesgo.

 Considerar opciones para el tratamiento del riesgo.
 Realizar un análisis adicional para comprender mejor el riesgo.
 Mantener los controles existentes para la mitigación del riesgo.
 Reconsiderar los objetivos y las metas que se afectan por la materialización del riesgo.

La toma de decisiones en SUPPLIES SAS se realiza en un contexto amplio, teniendo en cuenta las percepciones
reales de las partes interesadas internas y externas.
Los resultados de la valoración del riesgo se registran en el Procedimiento de Gestión Integral del Riesgo y se
comunican a las partes interesadas en cada proceso de gestión de la organización.

En esta etapa se establece el grado de exposición al riesgo que tiene SUPPLIES SAS, utilizando la Tabla 3 o Matriz
de Calificación, Evaluación y Respuesta a los Riesgos. Igualmente, la Tabla 4 de Criterios del Riesgo para Cuantificar
las Consecuencias permite establecer el valor del nivel del riesgo inherente, antes de controles.

VALORIZACIÓN DEL RIESGO

PROBABILIDAD PUNTAJE ZONAS DE RIESGO
20 50 100
Zona de Riesgo Medio Zona de Riesgo Alto Zona de Riesgo Critico
Reducir el Riesgo Reducir el Riesgo Reducir el Riesgo
Evitar el Riesgo Evitar el Riesgo Evitar el Riesgo
Casi Seguro 5 Compartir o Transferir Compartir o Transferir Compartir o Transferir
40 80
20
Zona de Riesgo Alto Zona de Riesgo Critico
P Zona de Riesgo Medio
Reducir el Riesgo Reducir el Riesgo
R Reducir el Riesgo
Evitar el Riesgo Evitar el Riesgo
O Evitar el Riesgo
Probable 4 Compartir o Transferir Compartir o Transferir
B
30 60
A
15 Zona de Riesgo Alto Zona de Riesgo Critico
B
Zona de Riesgo Medio Reducir el Riesgo Reducir el Riesgo
I
Evitar el Riesgo Evitar el Riesgo Evitar el Riesgo
L
Posible 3 Compartir o Transferir Compartir o Transferir
I
40
D 10 20
Zona de Riesgo Alto
A Zona de Riesgo Bajo Zona de Riesgo Medio
Reducir el Riesgo
D Asumir el Riesgo Reducir el Riesgo
Evitar el Riesgo
Reducir el Riesgo Evitar el Riesgo
Improbable 2 Compartir o Transferir

10 20
5
Zona de Riesgo Bajo Zona de Riesgo Medio
Zona de Riesgo Bajo
Asumir el Riesgo Reducir el Riesgo
Asumir el Riesgo
Reducir el Riesgo Evitar el Riesgo
Rara Vez 1
Impacto Moderado Mayor Catastrófico
Puntaje 5 10 20

IMPACTO

Tabla 3. Matriz de Calificación, Evaluación y Respuesta a los Riesgos.

 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 22 de 30

VALOR DEL
NIVEL DE ZONA DE RIESGO DESCRIPCION
RIESGO
Riesgo Bajo, se debe administrar el riesgo mediante
0-10 Bajo procedimientos de rutina existentes, revisiones y
mejora de ser necesario.
Riesgo Medio, se deben revisar los controles existentes,
15-25 Medio necesita atención de la Alta Dirección, evaluar su
eficacia y/o tratar el riesgo nuevamente.
Riesgo Alto, requiere atención inmediata de la Alta
30 - 50 Alto Dirección, revisión de los controles existentes, estudio
del tratamiento e implementación de nuevos controles.
Riesgo Crítico, requiere atención inmediata de la Alta
60 -100 Crítico Dirección, estudio del tratamiento del riesgo,
implementación de controles y acción inmediata.
Tabla 4. Criterios del Riesgo para Cuantificar las Consecuencias

Después de calificar el riesgo inherente y valorar los controles existentes, se determinan las opciones de manejo,
de acuerdo a los criterios establecidos en la Tabla 5. De esta forma se determina sí se debe evitar, reducir,
compartir o asumir el riesgo y se pasa a calificar el riesgo residual teniendo en cuenta los criterios de calificación
de la probabilidad de ocurrencia y el impacto (Tablas 3 y 4).

La calificación del riesgo residual determina el criterio a aplicar en la Matriz de Calificación, Evaluación y Respuesta
a los Riesgos (Tabla 3), en cuanto a si un riesgo es aceptable, tolerable, moderado, importante o inaceptable.
Igualmente, permite determinar un mapa de riesgos residual el cual facilita la priorización de los riesgos y el
monitoreo constante de los mismos de tal forma que se disminuya la probabilidad de ocurrencia, el impacto o los
dos. La priorización de los riesgos se realiza mediante la construcción de los mapas de riesgo residual, ya que
permite el establecimiento de controles, de planes de acción, la toma de decisiones y el seguimiento a dichos
planes para asegurar la eficacia de las medidas de mitigación planteadas. La tabla 4 indica los criterios del riesgo
para cuantificar las consecuencias o el nivel de riesgo.

La matriz de calificación, evaluación y respuesta a los riesgos (Tabla 3) contiene en cada celda el valor cualitativo
del riesgo, producto de la multiplicación de la Probabilidad por el Impacto, indica la zona de riesgo en la que se
encuentra el riesgo evaluado y las opciones de manejo recomendadas. A través de la matriz se genera el mapa de
riesgo inherente (antes de controles) y el mapa de riesgo residual (después de controles), el cual permite priorizar
los riesgos que se encuentren en las zonas de riesgo importante e inaceptable, sin dejar de lado la zona de riesgo
moderado, la cual trae consecuencias intermedias que igualmente con la implementación de tratamientos y
planes de control pueden ser llevadas a zona de riesgo tolerable o aceptable.

5.4 Tratamiento del Riesgo

5.4.1 Generalidades
Para el tratamiento del riesgo SUPPLIES SAS selecciona e implementa las opciones para abordar
el riesgo, de acuerdo a los criterios establecidos en la Tabla 5 de criterios del riesgo para
determinar las opciones de manejo. Los pasos empleados en SUPPLIES SAS para el tratamiento
del riesgo son iterativos e incluyen una serie de actividades que se registran en el Procedimiento
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 23 de 30

de Gestión Integral del Riesgo. De esta forma, cada proceso de gestión de la organización realiza
los siguientes pasos:

 Se formulan y seleccionan las opciones de manejo (Tabla 5) para tratamiento del riesgo. Se
determina si se evita, se reduce, se comparte o se asume el riesgo.
 Se determinan los planes de tratamiento a implementar y se realiza seguimiento a dicha
implementación, indicando responsables, tiempo de entrega, responsable del seguimiento,
etc.
 Una vez implementados los planes de tratamiento, se evalúa la eficacia del tratamiento.
 Se valora el riesgo después de la implementación de los controles y se determina si el riesgo
residual es aceptable.
 Realizar tratamiento adicional cuando el riesgo residual no es aceptable.

CRITERIO DESCRIPCIÓN
Evitar el riesgo Tomar las medidas encaminadas a prevenir su materialización
Reducir el riesgo Implica tomar medidas encaminadas a disminuir tanto la probabilidad como el
impacto
Compartir o Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones,
transferir el como el caso de los contratos de seguros o a través de otros medios que
riesgo permiten distribuir una porción del riesgo con otra organización como en los
contratos a riesgo compartido.
Asumir el riesgo Cuando se ha reducido o transferido el riesgo queda lo que se conoce como
riesgo residual, este se mantiene, en el caso el dueño del proceso simplemente
acepta la pérdida residual probable y elabora planes de contingencia para su
manejo.

Tabla 5. Criterios del Riesgo para Determinar las Opciones de Manejo

5.4.2 Selección de Opciones para el Tratamiento del Riesgo

Para la selección de las opciones de tratamiento en SUPPLIES SAS se identifican y se evalúan los
Criterios del Riesgo para Determinar las Opciones de Manejo dadas en la Tabla 5, antes de
preparar las opciones de tratamiento, seleccionar las opciones de tratamiento e implementar los
planes de tratamiento. En la selección de las opciones de tratamiento se tienen en cuenta los
objetivos de la organización, los criterios del riesgo y los recursos, y se realiza un balance entre los
beneficios potenciales y los costos de la implementación, considerando la viabilidad jurídica,
técnica, institucional y financiera o evaluando desventajas en la implementación.

La selección de las opciones de tratamiento en SUPPLIES SAS implica la toma de las siguientes
decisiones respecto al riesgo en cada proceso de gestión de la organización:
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 24 de 30

 Evitar el riesgo. Se decide sí no se inicia o se detiene la actividad que origina el riesgo.

 Asume o aumenta el riesgo para buscar oportunidades.
 Elimina la fuente del riesgo.
 Modifica la probabilidad
 Modifica las consecuencias
 Comparte el riesgo con una o varias partes interesadas.
 Retener el riesgo con base en una decisión informada.

Cuando no existen opciones de tratamiento o las opciones implementadas no modifican

sustancialmente el riesgo, el Procedimiento de Gestión Integral de Riesgos permite registrarlo y
mantener el riesgo en continua revisión.

La implementación de las acciones de tratamiento en el Procedimiento de Gestión Integral del

Riesgo identifica las áreas responsables, los responsables de la implementación, define un
cronograma, los responsables del seguimiento para la implementación de los controles y define
indicadores para medir la eficacia de las acciones implementadas.

La tabla 5 muestra la forma como se determinan los Criterios del Riesgo para Determinar las
Opciones de Manejo y la tabla 6 la forma como se valoran los controles, lo cual permite valorar el
riesgo residual, después de la valoración de los controles existentes, lo que ayuda a priorizar los
riesgos que pueden causar mayor impacto a la organización en caso de materializarse. SUPPLIES
SAS comunica los riesgos residuales a las personas que toman decisiones y a las partes interesadas
en cada uno de los procesos de gestión de la organización, para concientizarlos de la naturaleza
del riesgo, de su documentación, seguimiento, revisión y tratamiento adicional si es necesario.

CRITERIOS VALORACION DEL RIESGO

No existen controles Se mantiene el resultado de la evaluación antes de controles
Los controles existentes no son efectivosSe mantiene el resultado de la evaluación antes de controles
Los controles existentes son efectivos, Cambia el resultado a una casilla inferior de la matriz de evaluación
pero no están documentados. antes de controles (El desplazamiento depende de si el control
afecta el impacto o la probabilidad).
Los controles existentes son efectivos y Pasa a escala inferior, es decir el riesgo pasa a estar en una menor
están documentados. zona de riesgo (El desplazamiento depende de si el control afecta
el impacto o la probabilidad).

Tabla 6. Criterios del Riesgo para Determinar la Valoración de los Controles

5.4.3 Metodologías Aplicadas al Tratamiento del Riesgo.

 Metodología Aplicada al Control del Riesgo.

SUPPLIES SAS con el fin de disminuir la probabilidad y/o el impacto de que se materialicen los
riesgos establece para la mitigación de los riesgos identificados, controles basados en:
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 25 de 30

 Requisitos Legales: Leyes, Decretos, Circulares, Resoluciones, Actos Administrativos,

etc.
 Riesgos identificados o eventos internos: Situaciones de riesgo o eventos
presentados históricamente (Fraudes, hallazgos o informes de auditoría, Reportes de
Operaciones Sospechosas, etc.).
 Riesgos identificados o eventos externos: Tipologías detectadas o documentos de
señales de alerta en la actividad de transporte terrestre de carga publicados por
entidades como la UIAF, organismos internacionales como GAFI, GAFISUD, o por otras
agremiaciones.

Metodología Aplicada para Definir las Medidas de Control del Riesgo.

Con el fin de obtener el riesgo residual de la compañía, se hace necesario realizar una evaluación
de los controles asociados a cada riesgo inherente identificado, la cual contempla:

 Diseño del control

El diseño del control es una valoración sobre qué tan efectivo, eficaz, oportuno y pertinente puede
resultar la medida, al considerar el efecto de mitigación, sus costos de implementación y sus
objetivos.
La calificación o valoración del control resultará de combinar el efecto de mitigación del riesgo y
la cobertura que se logre, según los objetivos deseados.

 Cobertura máxima del control

La cobertura máxima del control corresponde a una escala cuantitativa o cualitativa o mixta que
permite establecer una medida de mitigación. El riesgo nunca se mitiga en un 100%, ya que
siempre existirá un riesgo residual que puede mitigarse hasta una zona de riesgo tolerable o
aceptable, logrando una adecuada cobertura con un costo de implementación proporcional.

 Efecto del control

Para los riesgos identificados, el control o medida implementada mitiga directamente el impacto,
la probabilidad o los dos al tiempo.

 Existencia del control

El control implementado puede ser una acción, mecanismo o herramienta que contribuya en la
prevención del riesgo o en la reducción de los efectos (probabilidad e impacto) de la
materialización del riesgo.

A veces un mismo control o medida sirve para mitigar más de un riesgo. En todo caso, los controles
deben conducir a reducir los riesgos y deben ser suficientes, comprensibles, eficaces, económicos
y oportunos.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 26 de 30

 Descripción del control

Los principales controles implementados en SUPPLIES SAS son:

 Verificación de antecedentes en Sistema de Debida Diligencia online, el cual consolida

70 fuentes de información pública con datos abiertos, de listas de cumplimiento, listas
vinculantes, listas restrictivas, listas sancionatorias, listas PEP’S al nivel nacional e
internacional y Debida Diligencia Ampliada.
 Solicitud de información para vinculación de clientes, proveedores, empleados, socios
y terceros vinculados.
 Confirmación de referencias telefónicas.
 Capacitaciones relacionadas con los riesgos existentes al interior de SUPPLIES SAS
 Inspecciones de las condiciones físicas de los equipos.
 Plan de inducción y reinducción al personal sobre el LA/FT-FPADM, SST, Ambiental y
Normatividad Legal.
 Capacitaciones permanentes contra el soborno y corrupción.

 Documentación del control

Cada uno de los controles establecidos en SUPPLIES SAS se encuentra documentado. El

procedimiento de Gestión del Riesgo permite documentar todo lo relacionado con las
diferentes etapas del Sistema de Gestión del Riesgo.

 Naturaleza del control

En SUPPLIES SAS se establecen controles de la siguiente naturaleza:

 Control Manual: Este control se da cuando existe la presencia y la intervención de una
persona en la acción a controlar, regulando así el comportamiento del sistema. Esta
persona participa en forma activa, registrando la inspección a través de sus sentidos
(vista, olfato, etc.). Ejemplo: Registro del personal.
 Control Semiautomático: Este controlador combina los dos sistemas, manual y
automático. Ejemplo: Verificación del CCTV, este se realiza a través de las cámaras de
vigilancia en el monitor, pero el cambio de panel de visualización lo realiza una
persona.
 Control Automático: Son aquellos que controlan un proceso sin la intervención de
una persona. Ejemplo: Consulta en listas restrictivas para la Debida Diligencia de
Clientes, Proveedores y Empleados.

 Efectividad del control

Después de identificar, analizar y evaluar el riesgo para obtener el riesgo inherente (antes de
controles), se registran en la matriz de riesgos, los controles existentes contestando a los criterios
establecidos en la Tabla 6 de Criterios del Riesgo para Determinar la Valoración de Controles, lo
que facilita conocer si los controles son efectivos o no.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 27 de 30

Lo anterior ayudará a determinar la valoración final del riesgo teniendo en cuenta el efecto de los
controles (Riesgo Residual), y se podrá establecer el nivel de exposición al riesgo respecto de la
calificación dada a éste en la etapa de medición y a la posición que ocupe en la Matriz de
Calificación, Evaluación y Respuesta a los Riesgos (Ver Tabla 3).

La medición de la efectividad de los controles implementados para la mitigación del riesgo se

revisará cada año.

5.4.4 Metodología para la Implementación de los Planes de Acción para el Tratamiento del
Riesgo.

El Procedimiento de Gestión Integral del Riesgo de SUPPLIES SAS permite especificar y registrar
la forma como cada proceso de gestión implementará las opciones de tratamiento elegidas, para
que los responsables de su implementación y seguimiento, comprendan las disposiciones
respecto a lo planificado.

El plan de tratamiento del riesgo de SUPPLIES SAS incluye:

 La descripción de la o las opciones de tratamiento seleccionada, incluyendo los beneficios

esperados.
 El registro del personal responsable de rendir cuentas y las responsables de la aprobación
e implementación de la o las opciones de tratamiento elegida.
 La descripción de las actividades de los planes de acción propuestos.
 Los recursos necesarios para la implementación de los planes de acción, incluyendo
contingencias.
 Mide el desempeño del plan de implementación.
 Permite registrar los hallazgos y las restricciones encontradas en la implementación de los
planes de acción para el tratamiento del riesgo.
 Genera informes y permite realizar los seguimientos requeridos.
 Estipula los plazos programados para la implementación y finalización de las acciones.

Los planes de acción a implementar para mitigar la materialización de los riesgos serán
proporcionales al impacto que el riesgo genere. El Procedimiento de Gestión Integral del Riesgo
facilita el registro de los planes de acción a ejecutar y el seguimiento de los mismos hasta su
implementación.

Para llevar a cabo la implementación de los Planes de Acción, se debe tener en cuenta lo siguiente:

a. El proceso de gestión o procedimiento que se impactará al materializarse el riesgo.

b. El proceso misional o de apoyo que se impactará al materializarse el riesgo.
c. La descripción de las acciones o las medidas a tomar.
d. Fecha de inicio de la implementación de las medidas o del plan de acción propuesto.
e. Fecha de culminación de la medida (si es transitoria) o del plan de acción propuesto.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 28 de 30

f. Responsable del proceso de gestión y de la implementación.

5.5 Seguimiento y Revisión

El objetivo de esta etapa es hacer un seguimiento permanente al mapa de riesgo de cada proceso de
gestión, al perfil de riesgo de la compañía y en general hacer un seguimiento al funcionamiento del
procedimiento.
El seguimiento y revisión del Procedimiento de Gestión del Riesgo, estará a cargo de la Alta Dirección,
cuya finalidad principal será la de velar por la aplicación de los correctivos y ajustes necesarios para
asegurar una efectiva administración del riesgo.

Dentro del desarrollo de la etapa de seguimiento y revisión, La Alta Dirección tendrá a su cargo la
responsabilidad de evaluar la eficacia y oportunidad de los controles implementados para mitigar el
riesgo, realizando pruebas de campo que quedarán debidamente documentadas. Esta actividad puede ser
apoyada por el proceso de gestión de la compañía. Por otro lado, la etapa de seguimiento y revisión es un
medio para detectar operaciones sospechosas.

Semestralmente, por lo menos, La Alta Dirección realizará un seguimiento a la funcionalidad del

Procedimiento de Gestión del Riesgo, con el fin de detectar sus deficiencias, y proceder a realizar las
correcciones correspondientes.

La revisión que se adelante comprenderá una comparación del riesgo inherente y el riesgo residual para
cada riesgo identificado en cada proceso de gestión. En el evento en que se detecten variaciones con
incremento del riesgo, se procederá a implementar los planes de acción a que haya lugar con el fin de que
el riesgo residual retorne a los niveles definidos por la empresa (riesgo deseado).

Así mismo, se deberá validar el correcto funcionamiento de los controles implementados y que éstos den
cobertura a todos los riesgos detectados de manera efectiva.

Semestralmente La Alta Dirección elaborará un reporte que permita establecer el perfil de riesgo residual
de la empresa (mapa de riesgo residual), la evolución individual y consolidada de los perfiles de riesgo, de
las fuentes de riesgo y de los riesgos asociados, este informe estará disponible para su consulta por parte
de los entes que soliciten su revisión y se incluirá en el informe de gestión del cierre de cada ejercicio
anual.

Además de lo anterior, servirán como fuente de información para el seguimiento y revisión del
Procedimiento de Gestión del Riesgo, los informes que suministren los órganos de control, entes
reguladores y los responsables de los procesos misionales y de apoyo que se designen. Esta información
resulta muy útil, en la medida que por intermedio de estos documentos se generan recomendaciones o
se da cuenta de falencias detectadas en el sistema, y de nuevos riesgos a controlar.

SUPPLIES SAS, mediante el Procedimiento de Gestión Integral del Riesgo, asegura, mejora la calidad y la
eficacia del diseño, implementación y resultados del Proceso de Gestión del Riesgo. El seguimiento
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 29 de 30

continuo y la revisión periódica del Proceso de Gestión del Riesgo y sus resultados son planificados y tiene
responsables definidos.

Cada uno de los procesos de gestión de la organización cuenta con usuario y contraseña para realizar
seguimiento y revisión a sus riesgos. El procedimiento de seguimiento y revisión se planifica, recopila
información, la analiza y registra sus resultados para retroalimentar a las partes interesadas internas y
externas.

5.6 Registro e Informe

Los responsables del Seguimiento y Revisión, registran e informan a la Alta Dirección lo siguiente:

 Comunican las actividades de gestión del riesgo desarrolladas y sus resultados en cada proceso
de gestión de la organización.
 Proporcionan información a la Alta Dirección para la toma de decisiones.
 Mejoran las actividades del Proceso de Gestión del Riesgo.
 Facilita la interacción con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de Gestión del Riesgo en cada
proceso de gestión de la organización.

La información documentada obtenida del seguimiento y revisión del proceso de Gestión del Riesgo, se
considera información sensible y es información de entrada para los contextos internos y externos de cada
proceso de gestión de la organización.

El Informe de Gestión del Riesgo es parte integral de la gobernanza de la organización, mejora la

interrelación con las partes interesadas y brinda apoyo a la Alta Dirección y a los órganos de supervisión
para cumplir con sus responsabilidades. El informe considera los siguientes factores:

 Las necesidades y requisitos específicos de información de las partes interesadas.

 El costo, la frecuencia de entrega del informe y los tiempos de elaboración del mismo.
 La metodología empleada para el informe.
 La correspondencia de la información con respecto a los objetivos de cada proceso de gestión de
la organización y la toma de decisiones.

5.7 Estructura Organizacional para la Gestión Riesgo.

La estructura organizacional de la Gestión de Riesgos en SUPPLIES SAS integra todos los procesos de
gestión de la compañía interrelacionándolos entre sí con un objetivo común como es el liderazgo y
compromiso de la Alta Dirección, el empoderamiento de los líderes de proceso, la asignación de
responsabilidades y la rendición de cuentas de cada proceso de gestión.
 Código: SLPT-SG-PD03
Versión: 0
PROCEDIMIENTOS DE SEGURIDAD FÍSICA Vigencia:
Página 30 de 30

7. DOCUMENTOS Y REGISTROS APLICABLES

 Este procedimiento.
 Matriz de Identificación y Evaluación de Riesgos y Oportunidades.

CONTROL DE CAMBIOS
Versión Modificación Fecha
0 Nuevo

ELABORÓ REVISÓ APROBÓ

Mauricio Javier Benitez

Consultor OEA